Un director financiar primește un apel telefonic de la „bancă”. Vocea este profesională, numărul de telefon pare legitim, iar solicitarea este urgentă: confirmarea unor date bancare pentru a preveni blocarea contului. În mai puțin de cinci minute, atacatorul are acces la conturile companiei.
Aceasta nu este o variantă de phishing clasic prin e-mail. Este vishing — doar una dintre tehnicile avansate de social engineering care ocolesc complet filtrul de spam, antivirusul și firewall-ul. Și este doar începutul.
Majoritatea companiilor din România investesc în protecție împotriva atacurilor prin e-mail. Dar infractorii cibernetici s-au adaptat: în 2025, cele mai eficiente atacuri nu mai vin doar prin inbox. S-au extins către telefon, prin coduri QR, prin mesaje SMS sau chiar prin prezența fizică la sediul companiei.
Ce este social engineering și de ce funcționează
Social engineering nu atacă sisteme informatice — atacă oameni. Exploatează mecanisme psihologice fundamentale: încrederea în autoritate, urgența, frica de consecințe, dorința de a ajuta un coleg.
Un firewall de ultimă generație nu poate opri un angajat care oferă parola sa unui „coleg de la IT” care sună disperat la telefon. Filtrele clasice de securitate ale rețelei nu pot bloca un angajat care scanează cu telefonul personal un cod QR lipit pe un afiș în recepție. Un filtru de e-mail nu poate bloca un SMS care imită o notificare de la ANAF.
Potrivit raportului ENISA Threat Landscape 2024, social engineering rămâne al doilea cel mai frecvent vector de atac la nivel european, după ransomware. Iar în România, DNSC a raportat o creștere de 40,2% a fraudelor cibernetice în 2024 — multe dintre acestea bazate pe manipulare umană, nu pe exploatarea tehnologiei.
5 tehnici de social engineering pe care companiile le subestimează
1. Vishing (Voice Phishing) — atacul prin telefon
Ce este: Atacatorul sună victima pretinzând că este de la bancă, de la un furnizor, de la ANAF sau chiar de la departamentul IT al propriei companii. Scopul: obținerea de date confidențiale, credențiale de acces sau aprobarea unor tranzacții frauduloase.
De ce funcționează: Vocea umană creează un sentiment de urgență și autoritate mult mai puternic decât un e-mail. Victima nu are timp să „verifice link-ul” sau să se gândească — presiunea este imediată.
Cazuri reale:
– În 2024, angajați ai unei companii energetice din Europa Centrală au fost contactați telefonic de atacatori care se prezentau drept echipa de suport IT, solicitând credențialele VPN „pentru o actualizare urgentă de securitate”. Trei angajați au furnizat datele, oferind atacatorilor acces la rețeaua internă.
– Atacatorii folosesc tot mai des tehnologia deepfake audio pentru a clona vocea directorilor. Un singur fragment audio de 30 de secunde — dintr-un interviu public, un podcast sau un webinar — este suficient pentru a genera o clonă vocală convingătoare.
Cum vă protejați:
– Stabiliți o procedură de verificare pentru orice solicitare telefonică de date confidențiale: „Vă sun eu înapoi pe numărul oficial”
– Nu furnizați niciodată parole sau coduri de verificare prin telefon — departamentul IT real nu vă va cere așa ceva
– Instruiți angajații să raporteze apelurile suspecte, chiar dacă nu au furnizat informații
2. Quishing (QR Code Phishing) — atacul prin coduri QR
Ce este: Atacatorul plasează coduri QR malițioase în locuri strategice: pe afișe în lifturi, pe mese în săli de ședințe, pe pliante „oficiale” lăsate în recepție sau chiar pe autocolante lipite peste codurile QR legitime din restaurante, parcări sau stații de încărcare.
De ce funcționează: Codurile QR sunt opace — nu puteți vedea URL-ul înainte de a-l scana. Iar obișnuința de a scana coduri QR a crescut enorm după pandemie. Oamenii scanează fără să se gândească.
Dimensiunea problemei:
– Conform unui raport HP Wolf Security din 2025, atacurile bazate pe coduri QR au crescut cu 270% la nivel global față de 2023
– Atacatorii vizează în special parcările cu plată și stațiile de încărcare electrică, unde utilizatorii sunt obișnuiți să scaneze coduri QR pentru plată
– Codurile QR malițioase redirecționează către pagini de phishing optimizate pentru mobil, unde victimele introduc date bancare sau credențiale corporative
Cum vă protejați:
– Verificați sursa codului QR înainte de scanare — este imprimat profesional sau pare lipit peste altceva?
– Folosiți o aplicație de scanare care arată URL-ul înainte de deschidere
– Nu introduceți niciodată credențiale corporative pe o pagină accesată prin cod QR
– Includeți codurile QR în politica de securitate a companiei
3. Pretexting — atacul bazat pe un scenariu fabricat
Ce este: Atacatorul construiește o identitate falsă completă și un scenariu credibil pentru a manipula victima. Spre deosebire de phishingul clasic (un singur mesaj generic), pretextingul implică cercetare prealabilă și interacțiuni multiple.
De ce funcționează: Atacatorul știe numele colegilor dumneavoastră, structura organizațională, proiectele în desfășurare. A studiat profilurile LinkedIn, site-ul companiei și comunicatele de presă. Când vă contactează, conversația pare perfect normală.
Exemple tipice:
– „Bună ziua, sunt Andrei de la firma de contabilitate. Am vorbit și cu doamna Maria de la financiar luna trecută. Am nevoie de facturile din ultimul trimestru pentru auditul care începe vineri.” — atacatorul cunoaște numele contabilei și termenul de audit din informații publice
– „Sunt de la furnizorul dumneavoastră de internet. Am detectat o problemă pe conexiunea dumneavoastră și am nevoie de acces remote pentru a o rezolva.” — atacatorul imită procedurile reale de suport
– „Salut, sunt noul coleg de la marketing și nu reușesc să accesez portalul intern. Mă poți ajuta cu credențialele tale temporar, până rezolvă IT-ul?” — atacatorul exploatează dorința naturală de a ajuta un coleg nou
Cum vă protejați:
– Implementați o politică de verificare a identității pentru orice solicitare de informații sensibile, indiferent cât de credibil pare interlocutorul
– Limitați informațiile publice despre structura organizațională și proiectele interne
– Instruiți angajații că politețea nu trebuie să învingă securitatea — este în regulă să spui „trebuie să verific” înainte de a oferi informații
4. Tailgating / Piggybacking — intrarea fizică neautorizată
Ce este: O persoană neautorizată intră în clădirea sau în zonele restricționate ale companiei urmărind un angajat autorizat, fără a folosi propriul card de acces.
De ce funcționează: Politețea. Cultura românească, în special, pune accent pe ospitalitate și ajutorarea celorlalți. Cine refuză să țină ușa deschisă pentru cineva care are mâinile ocupate cu cutii? Cine oprește pe cineva care poartă un ecuson și pare că știe unde merge?
Scenarii comune:
– Atacatorul vine „de la firma de curierat” cu un colet mare, iar un angajat îi ține ușa deschisă
– Atacatorul are un ecuson fals și un laptop, se prezintă drept consultant extern și intră direct în sala de ședințe
– Atacatorul pretinde că și-a uitat cartela de acces și roagă un angajat să îi deschidă ușa către zona de servere sau birouri
Cum vă protejați:
– Implementați o politică clară: fiecare persoană folosește propriul card de acces, fără excepții
– Instruiți personalul de la recepție să verifice identitatea tuturor vizitatorilor și să însoțească persoanele externe
– Nu conectați niciodată un stick USB găsit la un computer al companiei — stick-urile „uitate” în parcare sau recepție sunt o tactică clasică de atac (baiting)
– Implementați un registru de vizitatori și ecusoane pentru persoanele externe
5. Smishing (SMS Phishing) — atacul prin mesaje text
Ce este: Mesaje SMS frauduloase care imită notificări de la bănci, de la ANAF, de la servicii de curierat sau de la platforme de plată. Mesajele conțin linkuri către pagini false unde victimele introduc date personale sau financiare.
De ce funcționează: SMS-ul este perceput ca mai personal și mai urgent decât e-mailul. Oamenii răspund la SMS-uri mai repede și cu mai puțin scepticism. În plus, filtrele de spam pentru SMS sunt mult mai slabe decât cele pentru e-mail.
Tendințe actuale în România:
– Mesaje false de la „Poșta Română” sau „Fan Courier” cu taxe vamale fictive pentru colete
– Notificări false de la „ANAF” privind restanțe fiscale sau rambursări
– Mesaje de la „bancă” privind tranzacții suspecte, cu link pentru „verificare”
– Oferte false de la operatori telecom cu linkuri către pagini de phishing
Cum vă protejați:
– Nu accesați linkuri din SMS-uri nesolicitate — accesați direct site-ul oficial al instituției
– Implementați o politică de raportare a SMS-urilor suspecte primite pe telefoanele de serviciu
– Utilizați soluții MDM (Mobile Device Management) pentru telefoanele corporative
– Instruiți angajații că instituțiile oficiale nu solicită date confidențiale prin SMS
De ce instruirea clasică nu funcționează
Multe companii bifează cerința de instruire cu o prezentare anuală de 30 de minute despre „pericolele din internet”. Această abordare nu funcționează, pentru trei motive:
1. Atacatorii evoluează mai repede decât instruirile. Informațiile de acum un an sunt deja depășite. Quishingul era considerat o amenințare de nișă în urmă cu câțiva ani — acum a devenit o tactică de masă.
2. Cunoștințele nu schimbă comportamente. Angajații pot ști că nu trebuie să deschidă atașamente suspecte. Dar când „directorul” sună personal și cere o informație urgentă, cunoștințele teoretice sunt învinse de presiunea momentului.
3. Instruirea generică ignoră rolurile specifice. Contabilul, recepționerul și administratorul de sistem au profiluri de risc complet diferite. O instruire eficientă abordează scenariile specifice fiecărui rol.
Ce funcționează în schimb
- Simulări periodice — teste de phishing, vishing și quishing adaptate contextului companiei
- Instruire bazată pe scenarii — exerciții practice, nu prezentări PowerPoint
- Feedback imediat — când un angajat cade într-o simulare, primește imediat explicația și instruirea corectivă
- Cultura de raportare — angajații trebuie să se simtă în siguranță când raportează un incident, fără teama de consecințe
Lista de verificare: evaluarea expunerii companiei dumneavoastră
Folosiți această listă pentru a evalua rapid cât de vulnerabilă este compania dumneavoastră la atacuri de social engineering:
Politici și proceduri:
– [ ] Există o procedură de verificare a identității pentru solicitările telefonice de date sensibile?
– [ ] Există o politică de control al accesului fizic cu card individual?
– [ ] Există un registru de vizitatori și proceduri de însoțire a persoanelor externe?
– [ ] Există o politică privind dispozitivele USB și codurile QR?
– [ ] Există o procedură clară de raportare a incidentelor suspecte?
Instruire și conștientizare:
– [ ] Angajații au primit instruire specifică pentru vishing, quishing și pretexting?
– [ ] Se efectuează simulări periodice (cel puțin trimestriale)?
– [ ] Instruirea este adaptată rolurilor specifice din companie?
– [ ] Noii angajați primesc instruire de securitate în prima săptămână?
Tehnologie și monitorizare:
– [ ] Telefoanele corporative au soluții MDM instalate?
– [ ] Există un sistem de raportare rapidă a SMS-urilor și apelurilor suspecte?
– [ ] Se monitorizează tentativele de acces fizic neautorizat?
Dacă ați bifat mai puțin de jumătate — compania dumneavoastră are lacune semnificative pe care atacatorii le pot exploata.
Concluzie: cel mai puternic firewall este angajatul informat
Investiția în tehnologie de securitate este esențială, dar insuficientă. Cele mai sofisticate soluții tehnice pot fi ocolite printr-un simplu apel telefonic sau un cod QR bine plasat. Social engineering funcționează pentru că exploatează natura umană — iar împotriva naturii umane, singurul antidot este educația continuă și procedurile clare.
NIS2, prin OUG 155/2024, impune explicit instruirea regulată a personalului în materie de securitate cibernetică. Nu doar a echipei IT — a tuturor angajaților. Aceasta nu este doar o obligație legală, ci o investiție directă în reziliența companiei dumneavoastră.
La NetITworks, oferim programe complete de conștientizare și instruire în securitate cibernetică, adaptate specificului companiei dumneavoastră. De la simulări de atacuri la sesiuni practice de identificare a amenințărilor — ajutăm echipele să devină prima linie de apărare, nu cea mai slabă verigă.
Contactați-ne pentru a discuta despre un program de instruire adaptat companiei dumneavoastră.
Descoperiți serviciile noastre de securitate cibernetică pentru companii din România.
